|
^<\d+>.*?SymantecServer \S+: .*?,检测到 .*\s+已允许来自此应用程序的通信:.*,本地: .*,本地: .*,远程: .*,远程: .*,远程: .*,.*,.*,Intrusion ID: \d+,开始: .*,结束: .*,出现次数: .*,应用程序: .*,位置:.*,用户: .*,域: .*$ ^<\d+>.*?SymantecServer \S+: (.*?),(检测到 .*)\s+(已允许来自此应用程序的通信): (.*),本地: (.*),本地: .*,远程: .*,远程: .*,远程: .*,.*,.*,Intrusion ID: (\d+),开始: .*,结束: .*,出现次数: .*,应用程序: .*,位置:(.*),用户: (.*),域: (.*)$ EventTime"field="DeviceName,message,EventName,fileName,SourceIP,CN2,CS2,SourceUserName,SourceDomainName ^<\d+>.*?SymantecServer \S+: 扫描 ID: .*,开始: .*,结束: .*,.*,时间长度 \(秒\): .*,用户 1: .*,用户 2: .*,.*,命令: .*,威胁: .*,受感染: .*,文件总数: .*,已省略: .*,计算机: .*,IP 地址: .*,域: .*,组: .*,服务器: .*$ ^<\d+>.*?SymantecServer \S+: (扫描) ID: (.*),开始: .*,结束: .*,(.*),时间长度 \(秒\): (.*),用户 1: (.*),用户 2: .*,(.*),命令: (.*),威胁: (.*),受感染: (.*),文件总数: (.*),已省略: (.*),计算机: (.*),IP 地址: (.*),域: (.*),组: (.*),服务器: (.*)$ EventName,CN1,Device_EventType,CN2,SourceUserName,message,CS1,CN3,CN4,CN5,CN6,DeviceName,SourceIP,DestinationDomainName,CS4,DestinationName ^<\d+>.*?SymantecServer\S+: .*?,类别: .*,Smc,主机完整性检查已启用.*$ ^<\d+>.*?SymantecServer \S+: (.*?),类别: (.*),(Smc),(主机完整性检查已启用).*$ DeviceName,DeviceEventID,CS1,EventName ^<\d+>.*?SymantecServer \S+: .*?,类别: .*,Symantec AntiVirus,已成功关闭 Symantec Endpoint Protection 服务.*$ ^<\d+>.*?SymantecServer \S+: (.*?),类别: (.*),(Symantec AntiVirus),(已成功关闭 Symantec Endpoint Protection 服务).*$ DeviceName,DeviceEventID,Device_EventType,EventName ^<\d+>.*?SymantecServer \S+: .*?,类别: .*,Symantec AntiVirus,新的病毒定义文件已加载。版本: \S+。$ ^<\d+>.*?SymantecServer \S+: (.*?),类别: (.*),(Symantec AntiVirus),(新的病毒定义文件已加载)。版本: (\S+)。$ DeviceName,DeviceEventID,Device_EventType,EventName,CS6 ^<\d+>.*?SymantecServer \S+: .*?,类别: .*,GUP,停止用作组更新提供程序.*$ ^<\d+>.*?SymantecServer \S+: (.*?),类别: (.*),(GUP),(停止用作组更新提供程序.*)$ DeviceName,DeviceEventID,Device_EventType,EventName ^<\d+>.*?SymantecServer \S+: .*?,类别: .*,Smc,Symantec Management Client 已启动。.*$ ^<\d+>.*?SymantecServer \S+: (.*?),类别: (.*),(Smc),(Symantec Management Client 已启动。).*$ DeviceName,DeviceEventID,Device_EventType,EventName ^<\d+>.*?SymantecServer \S+: .*?,类别: .*,Smc,位置 已更改为 默认值。.*$ ^<\d+>.*?SymantecServer \S+: (.*?),类别: (.*),(Smc),(位置 已更改为 默认值。).*$ DeviceName,DeviceEventID,Device_EventType,EventName ^<\d+>.*?SymantecServer \S+: .*?,类别: .*,Smc,网络威胁防护 已激活.*$ ^<\d+>.*?SymantecServer \S+: (.*?),类别: (.*),(Smc),(网络威胁防护 已激活).*$ DeviceName,DeviceEventID,Device_EventType,EventName ^<\d+>.*?SymantecServer \S+: .*?,类别: .*,Smc,网络威胁防护.*引擎版本: \S+ .*$ ^<\d+>.*?SymantecServer \S+: (.*?),类别: (.*),(Smc),(网络威胁防护).*引擎版本: (\S+) (.*)$ DeviceName,DeviceEventID,Device_EventType,EventName,CS6,Message ^<\d+>.*?SymantecServer \S+: (.*?),(.*?),.*?,(.*?),开始: .*,结束: .*,规则: (.*),.*?,(.*?),\d+,(\S+),(.*?),用户: (.*),域: (.*)$ ^<\d+>.*?SymantecServer \S+: (.*?),(.*?),.*?,(.*?),开始: .*,结束: .*,规则: (.*),.*?,(.*?),\d+,(\S+),(.*?),用户: (.*),域: (.*)$ DeviceHostName,DeviceAction,Device_EventType,EventName,FileName,CS2,CS3,SourceUserName,SourceDomainName ^.*$ ^(.*)$ Message name=`SEP Events` 0×03、结论 在产品化的路上,上面的产品Demo还远远没有达到第一阶段SIEM的要求,但是大致雏形已经具备。希望对大家有帮助。目前商业日志大数据方向的产品已经很多,如果大家有兴趣可以聊聊。 文章来源36大数据, ,微信号dashuju36 ,36大数据是一个专注大数据创业、大数据技术与分析、大数据商业与应用的网站。分享大数据的干货教程和大数据应用案例,提供大数据分析工具和资料下载,解决大数据产业链上的创业、技术、分析、商业、应用等问题,为大数据产业链上的公司和数据行业从业人员提供支持与服务。 (责任编辑:本港台直播) |